印度依据2023年《电信法》第22条和第56条颁布的2024年《电信(电信网络安全)规则》最近正式生效。这是加强电信行业安全性和韧性的首个系统性法律,取代了2017年《移动设备识别码防篡改规则》。新规要求电信实体建立问责机制、加强安全框架、对网络事件作出迅速响应,其目的在于防止日益增加的网络威胁破坏数字通信网络。
合伙人
Phoenix Legal
为实现这些政策目标,新规要求每个电信实体制定并实施网络安全政策,明确安全保障措施、风险识别、评估与管理,以及安全事件的预防与恢复。安全事件被定义为对电信网络安全构成实际或潜在风险的事件。这不仅包括实际的攻击和漏洞,还包括电信网络、设备或服务中存在的可能被利用以破坏网络安全的潜在漏洞。电信实体需允许认证机构定期进行稽核,以确保其能够适应新兴的网络威胁。
其中一项关键规定是每个电信实体必须任命一名首席电信安全官(颁罢厂翱)。颁罢厂翱必须是居住在印度的印度公民。在规则实施和提交报告事宜上,颁罢厂翱作为政府与电信实体之间的主要联络人。电信实体需在检测到安全漏洞后六小时内通知政府,并在24小时内提交详细的事件报告,说明其范围和影响。
政府有权通过其授权机构从电信实体收集流量或其他数据(不包括消息内容),以确保电信网络安全。在收集非内容数据时须遵守相关保障措施,以确保这些数据仅用于网络安全目的。携带国际移动设备识别码(滨惭贰滨)的设备制造商和进口商需在销售或进口前向政府注册这些识别码。篡改电信识别码(如滨惭贰滨号)是被禁止的,一旦发生将受到处罚。
电信实体还需建立安全运营中心(厂翱颁),以监控、检测和应对网络威胁。厂翱颁将在实时威胁评估和事件管理中发挥关键作用。政府被授权指示电信实体减小已识别的风险、进行鉴定分析并升级安全基础设施,以应对不断变化的网络挑战。然而,规则并未明确说明厂翱颁如何实现这些目标。
尽管新规范围广泛,但也带来了挑战。安全事件的广泛定义可能导致解释和执行的不一致。尽管新规提到了数据保护措施,但却没有就数据存储、保留和共享作出明确指示,引发了对数据滥用和隐私泄露的担忧。第5条赋予政府广泛的权力,包括对通过识别码检测到的用户进行处罚,但缺乏足够的程序保障。政府可在不事先通知公司的情况下作出暂停或断开服务等行动。这种以安全为由赋予政府的广泛权力可能被滥用,造成任意执法的问题。
当下的规则和法律中,对于2013年《信息技术(印度计算机应急响应小组及履行职能和职责的方式)规则》中定义的安全事件和网络事件是否重迭尚不明确。
电信运营商面临的财务和后勤负担也令人担忧。建立厂翱颁并遵守其他安全措施会带来显着成本,尤其是对较小型公司而言。这可能导致市场失衡。
新规是政府为保护电信行业免受新兴网络威胁作出的重要努力。但新规范围过于宽泛,缺乏具体的操作指示,对公司带来沉重的负担,其内容有待修改。期待立法机构就程序性的保障措施作出更详细的规定,与国际标准接轨,解决行业关切,让新规在国家安全和个人隐私方面取得平衡。
Phoenix Legal律师事务所合伙人Aman Avinav
Phoenix Legal
Phoenix House,
254, Okhla Industrial Estate
Phase III, New Delhi – 110 020,
India
Vaswani Mansion, 3/F, 120 Dinshaw Vachha Road,
Churchgate, Mumbai – 400 020
India
联系方式:
电话: +91 11 4983 0000,
+91 11 4983 0099
+91 22 4340 8500
电子邮件: delhi@phoenixlegal.in | mumbai@phoenixlegal.in
